Modifiche file di registro - Sicurezza Informatica

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Virus

Computer Virus

Modifiche file di registro

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Autore

Discussione

cicciosalsiccio
New Member

36 Messaggi

Inserito il - 15/06/2006 : 10:48:44

Pregiatissimo forum,

prima di tutto complimenti per lo straordinario aiuto che date a tutti.
Poi approfitto di questo aiuto poichè mi è successo quanto segue:

ho una rete con vari clients e su uno di essi è "atterrato" un trojan che ha modificato il desktop. Adesso non solo non posso più modificarlo ma ha disabilitato anche il tasto "TaskManager" dalla protezione (Ctrl+Alt+Canc). Le scansioni sia con Hijack che con Reghealer non danno risultati:

htt*://freefilehosting.net/file/?id=pd/3l63Q

Potete aiutarmi?

E-mail: cicciosaciccio[presso]hotmail.it

Grazie e a buon rendere

ori: la prossima volta, segui il regolamento per postare i log di HJT htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=5255

Modificato da - ori in Data 15/06/2006 10:58:57

Er-Gladiatore
Advanced Member

Città: Roma

2540 Messaggi

Inserito il - 15/06/2006 : 11:09:43

Riavvia il tuo computer in modalità provvisoria e Fixa questi:

Stringhe infette:

C:\WINDOWS\msncomm.exe <-- Trojan - Beckdoor
C:\WINDOWS\msncomm.ex <-- Trojan - Beckdoor
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O1 - Hosts: 211.50.136.208 caromenglocal.neoact[.com]
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [SpywareQuake[.com]] C:\Programmi\SpywareQuake[.com]\Spyware-Quake.exe /h
O4 - HKLM\..\Run: [Timer] C:\WINDOWS\msncomm.exe /i
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKLM\..\Run: [clcbt.exe] C:\WINDOWS\System32\clcbt.exe
O4 - HKCU\..\Run: [SystemDriver] c:\DriverLoad\windrv.exe
O4 - HKCU\..\Run: [FDriver] c:\DriverLoad\windrv.exe
O4 - HKCU\..\Run: [ADriver] c:\DriverLoad\windrv.exe
O4 - HKCU\..\Run: [CDriver] c:\DriverLoad\windrv.exe
O4 - HKCU\..\Run: [DDriver] c:\DriverLoad\windrv.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O15 - Trusted Zone: [www].yeak.net
O16 - DPF: {036F8A56-0BC8-4607-8F98-D3231E6FF5ED} (CentraUpdaterAxCtl Class) - htt*://83.103.103.219/SiteRoots/main/Install/win32/CentraUpdaterAx .cab
O16 - DPF: {B24F0664-7DDA-40B6-B38C-A4FD68DE8685} (CentraDownloaderCtl Class) - htt*://83.103.103.213/SiteRoots/main/Install/CentraDownloader .cab

File superflui:

htt*://freefilehosting.net/file/?id=pd/3l6nY

Il peggior Log che ho visto in tutto questo tempo, al posto tuo io avrei già formattato il PC da molto...segui queste istruzioni e vedrai che avrai levato tutto...

Dopo aver Fixato dalla modalità provvisoria tutte quelle stringhe con Hijackthis (Comprese le superflue) scarica ed installa questi Antispy:

Spybot Search and Destry: htt*://fileforum.betanews[.com]/detail/Spybot_Search_and_Destroy/1043809773/1

Ad-Aware Persona Edition: htt*://[www].download[.com]/3405-8022-5153545.html?part=dl-ad-aware&subj=dl&tag=top5

Aggiornali riavvia il PC nuovamente in provvisoria e scansiona eliminando tutto quello che trovano !!!

Ora posta un nuovo Log

burrito
Advanced Member

Città: Genova

797 Messaggi

Inserito il - 15/06/2006 : 11:10:58

I log devi postarli secondo le regole:Come postare i log HijackThis
comunque fixa queste voci:
htt*://[www].freefilehosting.net/?id=pd/3l6ra
CON QUESTO TI HO RISOLTO IL PROBLEMA

Sono insicuro su questo:
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = coopceb.local
O17 - HKLM\Software\..\Telephony: DomainName = coopceb.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = coopceb.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = coopceb.local
ASPETTO RISPOSTE

burrito
Advanced Member

Città: Genova

797 Messaggi

Inserito il - 15/06/2006 : 11:12:02

OPS l'abbiamo postato di 1 un minuto di differenza
Mi scuso ma non l'avevo vistoo............

Er-Gladiatore
Advanced Member

Città: Roma

2540 Messaggi

Inserito il - 15/06/2006 : 11:14:43

Hehehe nessun problema burrito, anzi mi fà piacere che anche tu ti stai dando da fare..[.com]unque per le O17 stò cercando ho dei dubbi anche io...

burrito
Advanced Member

Città: Genova

797 Messaggi

Inserito il - 15/06/2006 : 11:24:09

Condivido sul dire che un log così non lho mai visto!

Volevo domandare a cicciosalciccio
1 Aggiorni l'antivirus?
2 Hai un firewall?
3 Aggiorni internet explorer e windows xp?

(TI PIACE LA MIA NUOVA FIRMA?)

aris73
Advanced Member

Città: Taormina

3779 Messaggi

Inserito il - 15/06/2006 : 16:13:00

ti si addice.....

aris73
Advanced Member

Città: Taormina

3779 Messaggi

Inserito il - 15/06/2006 : 16:19:22

x la 017 se il dominio non appartiene alla sua rete aziendale o al suo provider internet deve essere fixata e eliminata...

P.S. non facevi prima a buttare una bomba sul pc.....??

ovviamente skerzo...
cmq burrito il suo log parla kiaro ha IE scaduto quindi non lo aggiorna..ed ha ancora il SP1..!!!!????

Discussione

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Vai a:

NoTrace Security Forum

Pagina generata in 0,27 secondi.

TargatoNA | SuperDeeJay | Snitz Forums 2000